Image
Kits de Phishing

Kits de Phishing

¡¡Buenas!!

Hoy os traemos un artículo diferente, más divulgativo y dirigido a un público más general. ¡Queremos que cualquier persona comprenda un poco mejor el mundo de las ciberamenazas! Así que, os vamos a hablar de una de las principales y que seguro que, en mayor o menor medida, a todos suena: el Phishing. ¡Empecemos por el principio!

Qué es un Phishing

El Phishing es un método que intenta engañar a las posibles víctimas para hacer que compartan información privada como contraseñas, datos personales o números de tarjeta de crédito suplantando una web de su confianza, como puede ser una red social, una entidad financiera o una institución pública, en la que se le piden dichos datos de forma fraudulenta.

Vectores de propagación

La distribución más clásica es en la que la víctima accede al Phishing a través de un enlace que le llegue en un correo electrónico, aunque desde hace ya tiempo es muy común también que llegue a través de mensajes de texto SMS, en cuyo caso se denomina Smishing, y a través de redes sociales.

Este mensaje invita a acceder a un enlace de una web falsa bajo un pretexto tal como cambio de contraseña, actualización de la base de datos o pago de algún impuesto, todo ello de manera urgente para que pueda seguir utilizando sus servicios o pueda cobrar alguna cantidad.

En el siguiente ejemplo se puede observar un supuesto correo de Amazon que indica que se ha observado actividad sospechosa e invita a acceder a través de un enlace en menos de 48 horas para evitar la suspensión de la cuenta.

En este otro se observa un correo electrónico que suplanta a la entidad Correos en el que se indica que, para recibir un paquete, hay que hacer un pago de 2,99 € a través de un enlace en un plazo de 14 días.

En el siguiente ejemplo se observa un supuesto correo de la entidad financiera IberCaja que indica que la tarjeta asociada a la cuenta está desactivada y que para activarla debemos acceder a través de un enlace.

En todos los casos al pulsar sobre el enlace indicado llegamos a una web que suplanta a la de la entidad legítima donde se piden las credenciales de la víctima.

Su estructura

Un Phishing está compuesto por una cantidad variable de ficheros. Estos suelen estar codificados en lenguaje PHP y HTML, y se van llamando unos a otros según va pasando la víctima de una pantalla a otra.

En la siguiente imagen se puede ver el ejemplo de algunos ficheros PHP y HTML de un Phishing.

También se componen de ficheros de tipo imagen con logos y fotos para dar mayor nivel de semejanza que, en algunos casos, llegan a copiar por completo a la web legítima a la que quieren suplantar.

Asimismo, hay ficheros de estilos, css, que son utilizados para dar formato a los contenidos de la web, así como ficheros javascript que son archivos que ejecuta el navegador web para realizar diferentes funcionalidades recurrentes como validaciones, conversiones a formatos, etcétera.

Tipos de Phishing: Estáticos

Los Phishing estáticos son los más habituales y solo necesitan introducir el kit de Phishing en un servidor creado a tal efecto o, más habitual, un servidor comprometido y esperar a que la víctima caiga en el engaño.

Una vez la víctima entra en la web maliciosa que suplanta a la entidad legítima, se le va redirigiendo a las siguientes páginas encargadas de robar la información y enviarla a los delincuentes. Muchas veces, estas páginas muestran en la URL una cadena de caracteres para dar más credibilidad a la página mostrada.

En el ejemplo se observa el recorrido que hace una víctima en un Phishing contra la entidad Banco Santander Portugal hasta que finalmente te redirige a la página legítima.

Primero se solicitan las credenciales de acceso.

Después se solicitan los datos de la tarjeta de crédito.

A continuación se solicita la dirección física de la víctima.

Por último se solicita el código SMS recibido por la víctima.

Una vez que ya tienen todos los datos que quieren los ciberdelincuentes, redirigen a una página legítima de la entidad.

En estos casos lo habitual es que los delincuentes envíen la información robada desde los ficheros PHP a través del envío de un correo electrónico a una dirección prefijada en el código. También se ve mucho el envío de la información del usuario a través de un canal de Telegram usando la API que la aplicación facilita para ello.

Aquí se muestra un ejemplo de la parte del código donde se fija la dirección de correo electrónico a la que se envían los datos recopilados.

En esta otra captura de código se observa cómo se envía la información recopilada a un canal de Telegram.

Para favorecer el engaño, los ciberdelincuentes utilizan diferentes técnicas, como usar nombres de dominio muy parecidos visualmente al que quieren suplantar, sustituyendo, por ejemplo una “l” (ele minúscula) por una “I” (i mayúscula), o sustituyendo caracteres ASCII por caracteres Unicode, como sustituir una “o” (o minúscula) por un “ο” (ómicron).

También se utiliza la técnica de typosquatting, que consiste en conseguir nombres de dominio con errores tipográficos habituales a la hora de escribir un dominio por un usuario, como podría ser poner “googel” en lugar de “google”, de modo que al leerlo sin prestar mucha atención, el error pasa desapercibido para la víctima.

Tipos de Phishing: Dinámicos

Estos son más raros de ver y se dan, mayoritariamente, en Phishing que afectan a entidades del Reino Unido

Este tipo de Phishing, además de los ficheros mencionados anteriormente, incluye también un panel de control, llamado shell, para que el atacante tenga acceso al control del Phishing. Esto es necesario porque el atacante debe estar al otro lado introduciendo los datos que la víctima escribe, en la web legítima al mismo tiempo.

Aquí se muestra un ejemplo del panel de control que tiene el operador donde se aprecia un listado de víctimas, su estado y los datos que tienen de ellas.

En este tipo de Phishing no hay un orden establecido de las páginas a las que se va redirigiendo a la víctima y dependerá de lo que necesite el operador para continuar con el engaño. De este modo, desde el panel de control, será el atacante quien decida a qué parte del Phishing reenviar a la víctima en el siguiente paso para llevar a cabo el robo. Aquí se muestra un ejemplo de cómo el operador selecciona a qué página se redirigirá a la víctima.

En este caso no se envían los datos robados a ningún correo o canal de Telegram: se usan en el momento y se quedan almacenados en una base de datos.

Reutilización de código

Es típico encontrar en los kits de Phishing ficheros reutilizados, algunos con pequeñas modificaciones en su código y otros que están preparados para ser utilizados contra diferentes empresas.

En el siguiente ejemplo se observa parte de un código que se puede utilizar para estafas contra Banco Santander, Apple y Fedex.

Se pueden encontrar datos de los desarrolladores del Phishing, o de parte del Phishing, en el propio código. En la siguiente imagen se observa cómo el desarrollador del código ha dejado sus datos (Hamid Akhatar).

Y en esta otra se observa la pantalla de acceso al panel de control de un Phishing dinámico en el que se observa el creador del código (Kr3pto).

Al buscar información sobre ellos, siempre indican que este tipo de código para fines “educativos” tal y como se puede observar en el siguiente canal de Telegram.

Y aquí finalizamos esta introducción al Phishing. Esperamos que hayáis aprendido a reconocer mejor los correos de este tipo y os ayude a evitar caer víctimas de esta ciberestafa.

¡Hasta el próximo post!

Luis Bravo